Authentifizierung & Zugriffskontrolle
- Login-, SSO- und MFA-Bypass-Tests
- Session management and token handling
- Privilege escalation and IDOR/BOLA testing
- Überprüfung der Rollen- und Mandantenisolierung
Injektionen und Eingabebehandlung
- SQL-, NoSQL-, Befehls- und Template-Injektion
- Cross-Site-Scripting und SSRF
- Deserialization and file-upload flaws
- Input validation across web and API layers
Geschäftslogik und Datensicherheit
- Umgehung von Workflows, Race-Conditions und Missbrauchsfälle
- Massen-Zuweisung und übermäßige Datenpreisgabe
- Leckage sensibler Daten in Antworten und Logs
- Transaction and approval-flow tampering
Komponenten, Konfiguration und Standards
- Anfällige und veraltete Komponenten (SCA, 20.000+ CVEs)
- Security headers, CORS, CSP and TLS review
- API and microservice endpoint testing
- Ausrichtung an OWASP Top 10 und SANS Top 25